Réglementation de l’assurance de l’information aux Émirats arabes unis : fondement d’une économie numérique fondée sur la confiance

 

En 2020, alors que des blocages étaient mis en place et que les travailleurs se retiraient en masse chez eux, de mauvais acteurs ont frappé. Alors que les économies mondiales se sont effondrées, le volume de cyber-incidents a pris la trajectoire inverse, les cybercriminels profitant des utilisateurs isolés, des augmentations du BYOD et de l’incidence de l’étalement technologique contrôlé par des équipes informatiques surmenées.

Ces tendances ont été ressenties avec acuité aux Émirats arabes unis (EAU), longtemps un terrain de chasse privilégié parmi les prédateurs numériques. Selon l’équipe de cybersécurité d’Etisalat Digitals, Help AG, les attaques par déni de service distribué (DDoS) ont connu une augmentation de 183% l’année dernière dans les seuls Émirats arabes unis. Et dans une enquête de 2020 menée par KPMG, les parties prenantes commerciales des Émirats arabes unis ont exprimé leur pessimisme quant au paysage des menaces de 2021. Quelque 98 pour cent avaient des perspectives moroses pour l’année en ce qui concerne les niveaux globaux de cybercriminalité. Près des deux tiers (61 %) étaient préoccupés par le phishing, tandis que 42 % ont exprimé leur inquiétude face à l’escalade des ransomwares.

En effet, dans son Rapport sur l’état du marché, Help AG a également cité des augmentations régionales des attaques redoutées de verrouillage et d’extorsion, avertissant que les campagnes DDoS étaient souvent utilisées comme distractions lors de la suppression des ransomwares. Selon une autre étude sur les ransomwares, de nombreuses victimes des Émirats arabes unis ont déclaré avoir payé jusqu’à 1,4 million de dollars et 42% avaient été soumises à des arrêts opérationnels totaux. Pour ajouter l’insulte à l’injure, 90 pour cent de ceux qui ont payé ont déclaré avoir été à nouveau frappés.

Une réponse standardisée

Mais la bonne nouvelle pour les entreprises des Émirats arabes unis est que le gouvernement d’ici a toujours été proactif en matière de technologie, en particulier en matière de cybersécurité, de sécurité de l’information et de confidentialité. Soucieux de protéger leur économie numérique et les entreprises qui y habitent, les Émirats arabes unis ont lancé le règlement sur l’assurance de l’information en tant qu’élément clé de leur stratégie nationale de cybersécurité (NCSS). La norme d’assurance de l’information appelle à un large éventail de meilleures pratiques en matière de protection et de gestion, y compris la continuité des activités, la reprise après sinistre, la conformité, la certification et l’accréditation. L’objectif final est un cadre national unifié que le gouvernement entend suivre par chaque entreprise.

La norme appelle également à une augmentation des niveaux de protection dans les systèmes d’information et encourage la mise en œuvre de contrôles basés sur les risques. Il demande aux organisations de définir clairement les rôles et les responsabilités de ceux qui, dans leurs rangs, sont chargés de superviser (et de garantir) la cybersécurité.

Une économie basée sur la confiance

Dans ses pages, le règlement sur l’assurance de l’information des Émirats arabes unis énonce les raisons de l’adoption des normes. Il est clair que le gouvernement reconnaît que l’activité économique est huilée par la confiance et peut se figer en son absence. La norme mentionne les avantages d’un environnement numérique de confiance pour les entreprises et les particuliers à travers le pays, en liant ces avantages directement à la cybersécurité, que la Telecommunications and Digital Government Regulatory Authority (la TDRA, auteur de la norme) considère comme la responsabilité partagée de chaque organisation et individu. Alors que la TDRA laisse place à la collaboration et aux partenariats entre les organisations des secteurs public et privé, la conformité sera en grande partie le domaine de chaque entreprise individuelle.

Comme pour la plupart des réglementations de conformité dans l’espace numérique, le gouvernement des Émirats arabes unis ne poursuit que ce que tout acteur commercial sensé devrait souhaiter : la résilience. Si l’année dernière nous a appris quelque chose, c’était la valeur de la préparation en ce qui concerne la continuité. Les lignes directrices de la TDRA sont formulées de manière à être flexibles, car elles savent que chaque industrie et chaque entreprise est différente. Comme on pouvait s’y attendre, la norme s’applique à certaines industries de manière plus rigide qu’à d’autres, mais l’adoption des lignes directrices est dans l’intérêt de toute entreprise qui opère dans l’économie numérique. La TDRA fait clairement ressortir ce point. Le règlement IA, bien qu’obligatoire pour certains, est préconisé pour tous.

Détection et réponse aux menaces réseau basées sur l’IA : un outil efficace pour la conformité

Une partie des contrôles de sécurité évoqués dans le règlement sur l’assurance de l’information des Émirats arabes unis sont ceux liés à la sécurité des communications et des réseaux. À cet égard, la norme est opportune. Alors que des pratiques telles que le travail à distance et l’apprentissage à distance ont décollé en 2020, le réseau moderne est devenu manifestement plus complexe qu’à aucun autre moment depuis l’émergence du cloud computing. Dans de tels environnements, il incombe aux parties prenantes informatiques de reconsidérer leurs positions face aux menaces.

L’utilisation du réseau lui-même pour détecter les menaces avant qu’elles ne deviennent des violations et pour comprendre le risque posé par chaque système et utilisateur connecté, est essentielle pour appliquer efficacement les contrôles de communication et de sécurité du réseau. Alors que les ingénieurs en sécurité tentent de le faire depuis des années, l’augmentation de la puissance de calcul leur a enfin permis d’exploiter la puissance de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) et de faire basculer le jeu de la détection des menaces dans leur favoriser. La grande disponibilité de la puissance de l’IA et du ML a ouvert la voie à l’évolution vers des outils comportementaux de détection et de réponse de réseau (NDR) basés sur l’IA, qui contribuent grandement à automatiser les types de contrôles de sécurité cités par la TDRA. Le transfert d’informations, la gestion de la sécurité du réseau, l’informatique en nuage et la gestion et la réponse aux incidents sont tous couverts par cette approche. La puissance de l’IA peut également être utilisée pour évaluer les systèmes, les appareils et les utilisateurs en fonction du risque que leur comportement pose, une autre pratique suggérée dans les directives d’IA.

Les outils NDR comportementaux basés sur l’IA peuvent constituer un pas important vers la conformité pour les entreprises des Émirats arabes unis, car ils s’alignent sur la vision du gouvernement. Si sa mise en œuvre est suffisamment répandue, nous pouvons rapidement obtenir la confiance requise pour l’innovation et la participation compétitive à l’économie numérique mondiale.


 

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite